2023-12-5 CVEアップデート

Security_Announcement.png

原文

Concrete CMS 9.2.3 と 8.5.14 のアップデートをリリースしましたが、いくつかのセキュリティ脆弱性の修正を行なっています。セキュアで信頼できる Concrete CMS にするためのコミットメントです。

また、CVEのレビュープロセス時に、影響を受けるバージョンの修正が必要な CVE もいくつか見つかりました。

Concrete CMS Security と HackerOne のチャンネルを通じて、脆弱性を報告してくださるコミュニティ・メンバーの皆さんに特に感謝します。皆さんの貢献は、堅牢で安全なプラットフォームを維持する上で非常に貴重なものです。

 

9.2.3 と 8.5.14 両方で修正された脆弱性

  • CVE-2023-48653: トークンを含むPostリクエストのみを受け付けるようにダイアログエンドポイントを更新することで、ccm/calendar/dialogs/event/delete/submit経由のクロスサイトリクエストフォージェリ(CSRF)を修正しました。修正前は、イベント ID が数字で連続するため、攻撃者は管理者にサイト上のイベントを削除させることができます。Concrete CMS セキュリティチームは、この問題を CVSS v3 vector AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N で 4.3 と採点しました。報告者の Veshraj Ghimire 氏に感謝します。
  • CVE-2023-48650: レイアウトプリセット名のCVE-2023-48650 Stored XSSを修正しました。Concrete CMS Security チームはこれを CVSS v3 vector AV:N/AC:L/PR:H/UI:R/S:U/C:L/I:L/A:N で 3.5 と採点しました。Solar Security CMS Research、d0bbyさん wezery0さん silvereniqmaさんのご協力を得ました!

 

9.2.3 で修正された CVE

  • CVE-2023-44762: Reflected XSSを修正、この脆弱性はバージョン9.2.0用カスタムライブラリであるため Concrete CMS 9.2~9.2.2のみに影響します。
  • CVE-2023-44764: Fixed Stored XSS in Concrete Site Installation in Name parameter. 
  • CVE-2023-48652: /ccm/system/dialogs/logs/delete_all/submit を経由したクロスサイトリクエストフォージェリ (CSRF) を修正しました。 攻撃者は、管理者ユーザに、現在認証されているウェブアプリケーションのサーバレポートログを強制的に削除させることができます。コンクリートCMSセキュリティチームは、この問題をCVSS v3 vector AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:Lで6.3と評価しました。これは9以下のバージョンには影響しません。報告者の Veshraj Ghimire氏に感謝します. 
  • CVE-2023-48651: 更新ダイアログのエンドポイントを更新しトークンを使用した Post リクエストのみを受け付けるよう修正しました。 ファイルを削除する Cross Site Request Forgery (CSRF) 脆弱性は、/ccm/system/dialogs/file/delete/1/submit に存在します。Concrete CMS セキュリティチームはこの脆弱性を CVSS v3 vector AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:L の 4.3 としました。報告者のVeshraj Ghimire氏に感謝します。
  • CVE-2023-49337: Admin Dashboard の /dashboard/system/basics/name 経由の Stored XSS を修正しました Concrete CMS セキュリティチームは、この脆弱性を CVSS v3 vector AV:N/AC:L/PR:H/UI:R/S:U/C:N/I:L/A:N で 2.4 と採点しています。この脆弱性は Concrete 8.5 以下には存在しません。

 

アップデートされた CVE

  • CVE-2023-28476 Concrete CMS 9.0~9.1.3 のみ影響します。ファイル詳細ページは v9.0.0 以前では存在しません。
  • CVE-2023-28474 Concrete CMS 9.0~9.1.3 のみ影響します。9.0.0より生まれたバグでした。
  • CVE-2023-28471 Concrete CMS 9.0~9.1.3 のみ影響します。Container 機能は v9 以前にはありません。

 

謝意

Concrete CMSのセキュリティ脆弱性の特定と対処に重要な役割を果たしてきた献身的なユーザーとチームに心から感謝申し上げます。彼らの貢献は、プラットフォームのセキュリティと信頼性を向上させる上で大きな力となりました。

Concrete CMS のセキュリティチームも、報告された脆弱性の評価、スコアリング、対処にたゆまぬ努力を続け、Concrete CMS が安全で信頼できるプラットフォームであり続けることを協力し続けてくれています。

また、Concrete CMS コミュニティの継続的なサポートと脆弱性報告に感謝したいと思います。みなさんグループでの警戒と協力によって、すべてのユーザーのために高水準のセキュリティを維持し続けることができるのです。

これらのアップデートは、コンクリートCMSの最高水準のセキュリティを確保するための継続的な努力の一環です。Concrete CMS をご利用の皆様には、最新バージョンへのアップデートをお勧めいたします。

Concrete CMS で情報セキュリティの確保に努めてください!